嚴重的邏輯設計漏洞: 包括批量任意賬號密碼漏洞、密碼任意，撤單漏洞，訂單篡改漏洞，找回密碼漏洞，任意查詢用戶信息漏洞（姓名，，郵箱，），號信息任意更改，任意次數短信發送、任意或郵箱注冊漏洞，賬號普通越權操作其他用戶密碼，繞過限制用戶資料、執行用戶操作等，后臺或者api接口安全認證繞過漏洞涉及企業核心業務的邏輯漏洞。
實時網站的訪問情況除了這些措施外，實時網站訪問的情況性能也是防止DDOS攻擊的重要途徑。dns解析的配置方式如何設置不好，也會導致遭受ddos攻擊。系統可以網站的可用性、API、CDN、DNS和其他第三方服務提供者，網絡節點，檢查可能的安全風險，及時清除新的漏洞。確保網站的穩定訪問，才是大家關心的問題。

對上傳文檔的目錄設定為腳本不能執行的權限要是Web服務器沒法解析該文檔目錄下的腳本文檔，即便攻擊者發送了腳本制作文檔，網站服務器自身也不容易受到損害。許多商業網站的發送運用，上傳文檔之后放進單的儲存上，做靜態數據文檔解決，一方面使用緩存文檔加快，減少服務器硬件耗損；另一方面也避免了腳本木馬實行的可能。

滲透測試旨在，網絡防御機制的運行與你認為的一樣良好。往往系統和網絡管理員視審查人員或滲透人員為敵人，但實際上他們卻是朋友。到位的滲透測試可以你的防御確實有效，或者查出問題，幫助你阻擋未來攻擊。出錢請自己知道的人來發現網絡中的漏洞，總比讓自己不知道的人發現漏洞好得多。

在配置mysql數據庫查詢時，切記不可把端口設置為3306，由于默認設置的端口號會導致被入侵。我必須寫一個無法猜測的端口號。登陸密碼也不能默認的登陸密碼如123456，要盡可能復雜多樣化(我有個朋友，數據庫查詢當時沒登陸密碼，隨后有一次就被當做肉雞了，他一個月的服務器數據就這樣沒了…)，還需把數據庫查詢的遠程登陸功能關掉。管理員賬戶要經常留意，多余的帳號要立即清理，有時候攻擊者有可能會留有一個隱藏的賬戶，如果是平常開發維護盡量不要用超級管理員帳號，登陸密碼要盡可能復雜且經常改密碼。
普通的測試服務和漏洞掃描工具只能發現常規性的漏洞，而對于系統深層次的漏洞和業務邏輯漏洞一般掃描器是無法探測到的，因此需要選擇人工安全滲透測試服務來對業務系統做更深層次、更全面的安全檢查。
http://4koz.com